AWSアカウントセキュリティ(セキュアアカウント) 入門セミナー ~面倒な設定はクラスメソッドにお任せ！~

Transcript

1. AWSアカウントセキュリティ(セキュアアカウント) 入門セミナー ~面倒な設定はクラスメソッドにお任せ！~ クラスメソッド株式会社

2. 3 本日の流れ 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能

   b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ

3. 4 本セミナーの対象者 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能

   b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ

4. 5 本セミナーの対象者 • 対象者 ◦ クラスメソッドメンバーズ加入済み(予定) ▪ エンジニアや管理職の方 ▪ AWSアカウントのセキュリティ対策を何したら良いか分から

   ない方 • 学べること ◦ セキュアアカウントサービスの概要や導入メリット ◦ セキュアアカウントの始め方〜運用イメージ • 目標 ◦ セキュアアカウント導入検討の判断材料が得られていること

5. 6 本セミナーの対象者

6. 7 セキュアアカウントの概要とメリット 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能

   b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ

7. 8 セキュアアカウント とは？ セキュアアカウントの概要とメリット

8. 9 セキュアアカウントの概要とメリット セキュアアカウントとは、AWSが推奨するセキュリティベストプラクティスをアカウントに 適用いただけるサービスです。 セキュアアカウントを利用すると、AWSアカウントに対する最低限のセキュリティ対策を手 軽に実装できます。 • AWSアカウント内の脅威に対して「事前防止」「発見」「調査」各 フェーズの対策 ◦

   事前防止：アカウント内の危険な設定の検知 ◦ 発見：アカウント内の不正利用など危険な挙動の検知 ◦ 調査：アカウント内の操作・リソース記録の管理や調査サポート • アカウント内の危険な設定を是正した状態での払い出し

9. 10 想定インシデント の紹介 想定インシデントの紹介

10. 11 想定インシデント：不正アクセスによるコインマイニング被害

11. 12 想定インシデント：不正アクセスによるコインマイニング被害

12. 13 想定インシデント：不正アクセスによるコインマイニング被害

13. 14 想定被害額 • 想定被害額 ◦ 1時間で数百ドル(500$)と仮定した場合 ▪ 単純計算で、1日だと$12000、一ヶ月で$360000 ▪ 2023/6/27時点でのドル円レート143.45円で計算すると、

    一ヶ月の被害額は約5164万円

14. 15 想定インシデント に対する セキュアアカウントの有効性 想定インシデントに対するセキュアアカウントの有効性

15. 16 想定インシデントに対するセキュアアカウントの有効性

16. 17 想定インシデントに対するセキュアアカウントの有効性 • 事前防止：Security Hub ◦ 今回の場合は、IAMユーザーアカウントにMFAが登録されてい ないことを検知する • 発見：GuardDuty

    ◦ 今回の場合は、アカウント内の不正アクセスやコインマイニン グの挙動を検知する

17. 18 想定インシデントに対するセキュアアカウントの有効性 • 調査：Detective、GuardDuty、CloudTrail、Config ◦ 今回の場合は、攻撃者のアカウント内の動きの記録を確認する • 対応 ◦ GuardDutyの検出結果タイプが対応の参考になる

    ◦ クラスメソッドメンバーズご利用のお客様は、不正利用等の対 応をサポートさせていただきます ◦ それでも被害を最小限に食い止めるためには、事前に対応体制 を整えておくことが必要です

18. 19 想定インシデントまとめ • セキュアアカウントを利用することで、不正利用の各フェーズに て対策が行えます！ • 様々な攻撃手法でアカウントは常に脅威に晒されていますので、 セキュアアカウントを利用し、被害の事前防止や縮小に努めま しょう •

    一番事例の多いアクセスキー流出からのコインマイニング被害は 下記記事をご参照ください ◦ 参考：【実録】アクセスキー流出、攻撃者のとった行動とその 対策

19. 20 セキュアアカウント全体図 の紹介 セキュアアカウント全体図

20. 21 セキュアアカウント全体図

21. 22 セキュリティサービス有効化+チューニング機能の紹介

22. 23 セキュリティアラート整形+通知設定機能の紹介

23. 24 AWS上の証跡管理の紹介

24. 25 初期設定の是正機能紹介

25. 26 料金の紹介 料金の紹介

26. 27 料金の紹介 • 前提 ◦ AWSサービスの利用費のみ頂戴します ◦ 設定手数料などの諸費用はいただきません • 料金がかかるサービス例

    ◦ Amazon GuardDuty ◦ Amazon Detecitve ◦ AWS Security Hub ◦ AWS Config ◦ AWS Key Management Service ◦ etc

27. 28 料金の紹介 • AWSサービス利用費は以下に依存します ▪ Amazon GuardDutyとAmazon Detective • AWS内の操作回数

    • VPC内のトラフィック量 • Route53による名前解決の回数 • その他保護対象リソース(S3やEKSなど)に関する諸分析量 • etc ▪ AWS Config と AWS Security Hub • AWSリソースの構築や設定変更の回数 • etc

28. 29 料金の紹介 • 実際にかかる料金 ◦ アカウント内全体利用費の数%程度の追加が目安となります ◦ AWSアカウントの操作や利用がほとんどない状態でも毎月 $5〜 $15

    程度発生します

29. 30 セキュアアカウントの始め方(初期導入機能) 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能

    b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ

30. 31 セキュアアカウントの始め方(初期導入機能)

31. 32 セキュアアカウントの始め方(初期導入機能) 1. 新規アカウントを発行する場合(組織管理プランなど一部プランのぞ く)、こちらのフォームにて新規アカウント発行申請を行います。 2. その後、アカウント情報ページのセキュリティ設定オプションにて「セ キュア」を選択します。

32. 33 セキュアアカウントの始め方(初期導入機能)

33. 34 セキュアアカウントの始め方(設定維持機能) 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能

    b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ

34. 35 セキュアアカウントの始め方(設定維持機能)

35. 36 セキュアアカウントの始め方(設定維持機能) • 「設定維持」機能の概要紹介 ◦ メンバーズポータルサイトから利用 ◦ 毎週土曜日にメンテナンスが実施 ◦ 発行済みアカウントに対しても「初期導入」機能の設定再現可能

36. 37 セキュアアカウントの始め方(設定維持機能)

37. 38 セキュアアカウントの始め方(設定維持機能)

38. 39 セキュアアカウントの始め方(設定維持機能)

39. 40 セキュアアカウントの始め方(設定維持機能)

40. 41 セキュアアカウントの始め方(設定維持機能)

41. 42 発行済みアカウントに完全なセキュアアカウントを適用する場合 • 発行済みアカウントにて、 「初期導入」機能を再現する 場合は、左図の設定にて保存 します。 • 既存の環境に影響を与える可 能性がございますので、必ず

    メンバーズサービス仕様書を ご確認いただいた上でのご利 用をお願いします

42. 43 セキュアアカウントを始めたら 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能

    b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ

43. 44 セキュアアカウント利用後の作業 • 以下の作業が必要になります。 ◦ IAMユーザーのMFA登録作業 ▪ 参考：AWS IAM MFAをスマートフォンで設定する方法

    ◦ 「Security Hub」「GuardDuty」「IAM Access Analyzer」の検知 メールの登録作業 ▪ 参考：【セキュアアカウント】セキュリティアラートをメールで 通知してみよう ◦ Security Hubのスコアを100%にする作業 ▪ 参考：[入門]社内勉強会で AWS Security Hubの話をしました

44. 45 セキュアアカウント運用について 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能

    b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ

45. 46 セキュアアカウント運用について(事前防止)

46. 47 セキュアアカウント運用について(事前防止) • 事前防止 ◦ 被害発生を防ぐためSecurity Hubのスコアは常に100%を目指す • 危険設定が検知された際は、設定を修復します •

    検知内容に問題ない場合は、アラートを抑制します ◦ 参考 ▪ [入門]社内勉強会で AWS Security Hubの話をしました • Security Hubの概要が分かります ▪ AWS Security Hub 基礎セキュリティのベストプラクティスコン トロール修復手順の記事一覧 • 設定の修復手順がまとめられています

47. 48 セキュアアカウント運用について(発見) • 発見 ◦ GuardDutyで脅威を発見しましょう • 不正利用等の脅威が発生した場合にすぐ気付けるようにする ◦ 先ほど紹介した検知メール登録作業を行う

    ◦ 脅威が発生した際に、迅速に対応する体制を作る ◦ 参考 ▪ [2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考え る • GuardDutyの概要が分かります ▪ 検出結果タイプ • GuardDutyが検知する脅威がまとめられています

48. 49 セキュアアカウント運用について(調査と対応) • 調査と対応 ◦ Detective等を使用して脅威イベントの情報を収集する ▪ 脅威レベルを把握し、適切な対応を行いましょう ▪ 対応はクラスメソッドからもサポート可能です

    • お問い合わせはメンバーズポータルのお問い合わせページから ◦ 参考 ▪ [神ツール]セキュリティインシデントの調査が捗るAmazon Detectiveが GAしたのでメリットとオススメの使い方を紹介します • Detectiveの概要が分かります ▪ 【実録】アクセスキー流出、攻撃者のとった行動とその対策 • 不正アクセスが発生した際の対応までの流れが分かります

49. 50 まとめ 1. 本セミナーの対象者 2. セキュアアカウントの概要とメリット 3. セキュアアカウントの始め方 a. 初期導入機能

    b. 設定維持機能 4. セキュアアカウントを始めたら 5. セキュアアカウント運用について 6. まとめ

50. 51 セキュアアカウントまとめ • セキュアアカウントはクラスメソッドが長年に渡り培ってきたセ キュリティベストプラクティスを詰め込んだサービスです • セキュリティ対策にお困りの方はセキュアアカウントを導入し、 AWSが推奨するセキュリティベストプラクティスを整えましょう

51. 52 参考ページ • メンバーズポータルお問い合わせページ • AWSアカウントセキュリティ • クラスメソッドメンバーズ サービス仕様書 •

    [安全なAWSセキュリティ運用ナレッジ2022]セキュアアカウントの使 い方 • セキュアアカウント発行サービスに関するFAQ ◦ 設定の変更・解除方法等も記載しています